Pushbenachrichtigungen von Exchange-Webdiensten ermöglichen unbefugten Zugriff

Gilt für: Exchange Server 2010Exchange Server 2013Exchange Server 2016 Mehr

Szenario


Stellen Sie sich folgendes Szenario vor:
  • Sie führen Exchange Server aus.
  • Sie haben Exchange-Webdienste (Exchange Web Services, EWS) aktiviert.
  • Pushbenachrichtigungen sind in Ihrer Umgebung aktiviert und werden verwendet.

Ursache


Wenn ein Client Pushbenachrichtigungen von Exchange Server abonniert, enthalten die an den Client gesendeten Benachrichtigungen NTLM-Informationen, die zum Authentifizieren als Server, mit dem Exchange Server ausgeführt wird, verwendet werden könnten. Diese Informationen waren zuvor vorhanden, um eine authentifizierte Antwort an abonnierte Clients zuzulassen. Nur Pushbenachrichtigungen sind betroffen. Pull- und Streamingbenachrichtigungen sind nicht betroffen.

Problemumgehung


Um dieses Problem zu umgehen und den Missbrauch von Informationen zu verhindern, definieren Sie eine Einschränkungsrichtlinie, die verhindert, dass EWS-Benachrichtigungen an abonnierte Clients gesendet werden. Dieses Verhalten betrifft zwar nur Pushbenachrichtigungen, aber eine Einschränkungsrichtlinie betrifft Push-, Pull und Streamingbenachrichtigungen gleichermaßen.

Hinweis Diese Problemumgehung bewirkt, dass manche Clients nicht mehr ordnungsgemäß funktionieren. Hierzu zählen Outlook für Mac, Skype for Business, systemeigene iOS-Mailclients und einige andere Drittanbieterclients. Hierzu können auch benutzerdefinierte Branchenanwendungen zählen.

Lösung


Microsoft hat die Benachrichtigungsvereinbarung, die zwischen EWS-Clients und Servern, die Exchange Server ausführen, dahingehend geändert, dass authentifizierte Benachrichtigungen nicht vom Server gestreamt werden dürfen. Stattdessen werden diese Benachrichtigungen mithilfe anonymer Authentifizierungsmechanismen gestreamt. Ein Client müsste sich authentifizieren, um das Abonnement zu erstellen. Deshalb gilt diese Vorgehensweise als geeignet und notwendig, um die Anmeldeinformationen und die Identität des Servers zu schützen. Für Clients, die eine authentifizierte EWS-Pushbenachrichtigung von dem Server, der Exchange Server ausführt, verwenden, ist nach dieser Änderung ein Clientupdate erforderlich, damit sie weiterhin ordnungsgemäß funktionieren.

Dieses geänderte Verhalten wird in den folgenden Exchange-Versionen wirksam: